第12章 接入控制协议

字节
字节
1 地址
固定值 0xFF
固定值
0x03
封装信息的协议类型，如： 0x0021 ：IP协议（高层协议） 0x8021：IPCP协议（NCP） 0xc021 ：LCP 协议 0xc023 PAP 0xc223 CHAP 0xc227 EAP
lxm
7
12.2.3 PPP——LCP子协议


LCP：Link Control Protocol，链路控制协议 主要功能： 链路建立、参数协商、是否认证及认证 协议协商，链路终止 分组类型：链路配置、链路维护、链路终止


PAP认证过程

请求信
Auth-Ack or
Auth-Nak

A B 认证请求 （认证方） PAP认证的问题 （被认证方） （Auth-Request） 明文传输认证信息容易 被窃取，存在安全隐患 认证成功/失败 （Auth-Ack / Auth-Nak）
lxm
13
12.3.2 质询认证协议 CHAP

12.5.1 协议概要
12.5.2 接入模型
12.5.3 协议层次 12.5.4 分组格式 12.5.5 协议运行 12.5.6 协议特点
26
lxm
12.5.1 PPPoE协议概要

概念
PPP Over Ethernet 以太网的点到点的协议 目前使用的版本: RFC 2516
PPP协议运行的5个阶段及转换过程
链路 死亡
UP FAIL
链路
OPEND
认 证
建立
SUCCESS/NONE
FAIL CLOSING
DOWN 链路
终止
网络层 协议
10
lxm
12.2.5 PPP——协议运行

死亡阶段

物理层未准备好、PPP的初始阶段

链路建立阶段，由LCP完成

建立请求、协商MRU、认证协议、链路质量监测协议
lxm
2
12.1 概述


一系列接入控制协议，协同完成对用户的接入控制功能 包括：前台协议、后台协议、认证算法 前台认证协议

早期PPP，当前PPPoE/802.1X 当前协议的核心是EAP，改变了认证的世界

后台授权协议：Radius 认证算法：建立特定安全关联

具体认证方法，含有用户名、密码、加密方法等参数 参数封装入EAP分组，经由NAS转递Radius分组 早期的PAP/CHAP简单协议，也可不加封直接交付 EAP PPPoE/801.1X PPP
……
23
lxm
源自文库
12.4.6 协议运行

EAP：

典型的“停-等”协议 认证器请求发向对等端 等待对等端有效响应 响应收到，可发新请求
对等端 请求 响应 ……
认证器

EAP典型交互图
请求 响应 成功/失败
24
lxm
12.4.6 小结

EAP是一个便于扩展的认证协议框架

定义了认证的标准化封装与标准化交互 可加载多种认证方法
网络层
IPCP IPXCP 其他
PPP 协议
NCP 可选的认证或其他链路选项 LCP PHY 数据链路层
物理层
6
lxm
12.2.2 PPP——帧格式

类似HDLC的UI帧（无编号帧）
1 地址 1 控制 1 控制 2 协议 变长 信息 变长 信息 2 FCS PPP 帧 2 FCS HDLC UI帧
数据„„
代码
22
lxm
12.4.5 认证方法

EAP多认证算法支持（标识字段的值不同表示不同的方法）


称为认证方法（authentication method），并由IANA统一编号 4 MD5-Challenge 5 OTP（One-Time Password ） 6 GTC（Generic Token Card ） 9 RSA Public Key Authentication 11 KEA 13 EAP-TLS 21 EAP-TTLS 23 EAP-AKA 27 MAKE 43 EAP-FAST 47 EAP-PSK 48 EAP-SAKE 49 EAP-IKEv2 50 EAP-AKA' 51 EAP-GPSK

11
12.3 简单认证协议
12.3.1 口令认证协议 PAP
12.3.2 质询认证协议 CHAP

PAP&CHAP通常由PPP协议直接执行

可以认为是PPP协议的一部分
12
lxm
12.3.1 口令认证协议PAP

PAP（由RFC 1334描述）

Password Authentication Protocol 口令认证协议 被认证方向认证方发认证请求信息（明文） 息含“用户名、口令” 认证方向被认证方发认证应答信息（明文）
链路配置分组

建立和配置链路： Configure-Request、Configure-Ack、Configure-
NakConfigure-Reject。
链路维护分组

Code-Reject 、 Protocol-Reject 、 Echo-Request 、 Echo-Reply 、
Discard-Request
链路终止分组
8
Terminate-Request（终止请求）分组和Terminate-Ack（终止确认）分组。
lxm
12.2.4 PPP——NCP子协议
网络层控制协议NCP Network Control Protocol

不同的网络层协议可复用在同一PPP链路上 同一个PPP连接下可开启多个NCP
16
lxm
12.4.1 概述

EAP协议：可扩展认证协议

Extensible Authentication Protocol 目前接入控制前台协议的核心

特点：可扩展性很强

可封装在重要的前台外壳协议之中

典型的是：PPPoE、802.1X

可以与后台的授权协议密切协同
EAP是支持多种认证机制的通用协议
IP IPX
其他


PPP为不同的网络层设计了相应的NCP 如对应IP协议的NCP为IPCP 对应IPX协议的NCP为IPXCP 不同的NCP处理不同网络层特殊要求

IPCP IPXCP NCP
其他
网络层
如IP地址分配等
可选的认证获其他链路 选项 LCP
lxm
9
12.2.5 PPP——协议运行
lxm

CHAP分组：4种

14
12.3.2 质询认证协议 CHAP
CHAP认证的交互过程
1) 由认证方向被认证方发送质询分组
质询值为随机数
２) 由被认证方向认证方发送响应分组
将质询值通过共享密钥加密后传送到对方
３) 由认证方向被认证方发送响应分组
认证方用共享密钥解密，成功发Ack，失败发Nak

包括： MD5-Challenge、OTP、 GTC、等 可承载多种认证算法而非一个具体的认证协议
17
lxm
12.4.2 标准发展

EAP标准发展的阶段

EAP仅仅是PPP协议的附属

RFC 2284-1998 ：PPP EAP

EAP成为一个独立的协议
典型运行环境：PPP、IEEE 802 RFC 3748-2004：EAP

CHAP

Challenge Authentication Protocol 由RFC 1994描述 认证信息采用密文传送 采用共享密钥
质询认证协议

CHAP认证的特点

与PAP相比：安全性更高，认证所花时间更长 质询：Challenge 响应：Response 成功：Success 失败：Failure


PPPoE的引入
PPP只适应点到点链路的接入控制 点到多点链路PPP仍然适应吗？否! PPPoE可以实现对点到多点链路的接入控制


PPPoE的功能


对以太网上每个用户与NAS之间建立一条PPP会话通道 每一条PPP会话通道有唯一的连接标识 实现对太网上每个用户进行单独的管理
lxm
第 12 章
用户接入控制协议

前台控制协议
接入认证算法 后台授权协议
1
lxm
第12章 用户接入控制协议



12.1 概述 12.2 PPP协议 12.3 简单认证协议 12.4 EAP协议 12.5 PPPoE协议 12.6 802.1X协议 12.7 Radius协议 12.8 小结
（被认证方）
（认证方） 1) 质询（Challenge）(明文）
2) 响应（Response） （密文）
3) 认证成功/失败 （Auth-Ack / Auth-Nak）
15 lxm
12.4 EAP协议

12.4.1 概述
12.4.2 标准发展
12.4.3 分组格式 12.4.4 认证方法 12.4.5 协议运行 12.4.6 小结
lxm
20
12.4.3 协议模型

EAP分层模型

Fig.1: EAP Multiplexing Model，RFC 3748
协议实体：前台协议，NAR、NAS

EAP称之为：对等端、认证器

peer、authenticator

EAP方法层：承载多种认证方法
对等端 EAP方法 EAP方法 Type = X Type = Y EAP 对等端层 EAP 层 低层 认证器 EAP 方法 EAP 方法 Type = X Type = Y EAP 认证器层 EAP 层 低层
27
12.5.2 PPPoE接入模型
图中：接入桥接设备可为：交换机、ADSL Modem 接入集中器一般为PPPoE服务器

主机 主机 主机
二层网络 主机 ISP
桥接接入设备 Bridging Access Device
lxm
NAR
NAS
Radius
NAA
12.2 PPP协议

12.2.1 协议概要
12.2.2 帧格式
12.2.3 LCP子协议 12.2.4 NCP子协议 12.2.5 协议运行
4
lxm
12.2.1 协议概要

概念
Point-to-Point Protocol 目前使用的版本: RFC 1661 点到点的协议
可选项，对用户身份的鉴别。是否选或选择何种认证协议 在建立连接阶段协商 对网络层协议进行配置，如网络层地址（IP地址）分配 可以在任何时候终止链路，链路的正常终止由LCP分组完成， 一个NCP的关闭不一定引起链路的关闭
lxm

认证阶段,由LCP完成


网络层协议阶段，由NCP完成


链路终止阶段,由LCP完成


EAP成为支持多种认证方法的认证框架

支持：TLS、TTLS、GTC、SIM、…… RFC 3579-2003、RFC 3580-2003、……
lxm

EAP成为与后台协议协同的前台协议核心

18
12.4.2 标准发展

基本规范

RFC 2284-1998：EAP v1
RFC 3748-2004：EAP v2 RFC 3579-2003：Radius支持EAP RFC 3580-2003：802.1X Radius使用指南
lxm
21
12.4.4 分组格式

EAP分组格式代码：1~4，定义了4种分组

1 2 3 4
Request（请求） Response（响应） Success（成功） Failure（失败）

标识：响应与请求之匹配
长度：包括代码、长度、数据各段和之八位组长
8位 8位
标识
16位
长度
不定长
EAP并未定义也未任何限定特定认证算法 在EAP分组中可以封装认证方法数十种


EAP改变了认证的世界

EAP核心：多承载、标准化封装、标准化交互 集装箱改变了物流的世界

集装箱：多承载、标准化封装、标准化转运
前后台协议协同的主要参与者
lxm

EAP成为接入控制前台协议的核心

25
12.5 PPPoE协议

认证协同


RFC 5247-2008：EAP密钥管理框架
19
lxm
12.4.2 标准发展

认证方法支持



RFC 2716-1999：EAP-TLS v1 RFC 4764-2007：EAP PSK RFC 4793-2007：EAP OTP RFC 4851-2008：EAP-FAST RFC 5106-2008：EAP-IKEv2 RFC 5216-2008：EAP-TLS v2 RFC 5296-2008：EAP 的ERP扩展 ……

协议作用范围

点到点的链路上(数据链路，逻辑链路) 实现点到点链路的两个节点之间:
数据链路的建立与拆除 链路质量检测 身份认证等 网络层协议协商与配置(如IP协议的IP的地址等)


功能


两个子协议：LCP 与 NCP
lxm
5
12.2.1 协议概要——参考模型
IP IPX 其他网络 层协议